Siber güvenlik araştırmacıları, Mongolian Skimmer adlı bir skimmer’ı gizlemek için Unicode gizleme tekniklerinden yararlanan yeni bir dijital skimmer kampanyasına ışık tuttu.
Jscrambler araştırmacıları bir analizde şöyle dedi: “İlk bakışta göze çarpan şey, senaryonun karmaşıklığıydı; bu, tüm aksanlı karakterler nedeniyle biraz tuhaf görünüyordu.” “Birçoğu görünmez olan Unicode karakterlerin yoğun kullanımı, kodun insanlar tarafından okunmasını çok zorlaştırıyor.”
Komut dosyasının özünde, kötü amaçlı işlevselliği gizlemek için JavaScript’in tanımlayıcılarda herhangi bir Unicode karakteri kullanma yeteneğinden yararlandığı bulunmuştur.
Kötü amaçlı yazılımın nihai hedefi, finansal bilgiler de dahil olmak üzere e-ticaret ödeme veya yönetici sayfalarına girilen hassas verileri çalarak daha sonra saldırganın kontrolündeki bir sunucuya sızdırmaktır.
Tipik olarak tehlikeye atılmış sitelerde harici bir sunucudan gerçek yükü alan satır içi bir komut dosyası biçiminde ortaya çıkan skimmer, aynı zamanda bir web tarayıcısının geliştirici araçları açıldığında belirli işlevleri devre dışı bırakarak analiz ve hata ayıklama çabalarından kaçmaya çalışır.
Jscrambler’dan Pedro Fortuna, “Skimmer, hem modern hem de eski olay işleme tekniklerini kullanarak farklı tarayıcılar arasında uyumluluğu sağlamak için iyi bilinen teknikleri kullanıyor.” dedi. “Bu, tarayıcı sürümlerine bakılmaksızın geniş bir kullanıcı yelpazesini hedefleyebileceğini garanti ediyor.”
İstemci tarafı koruma ve uyumluluk şirketi, aynı zamanda, skimmer komut dosyasını yalnızca kaydırma, fare hareketleri ve dokunmayla başlatma gibi kullanıcı etkileşimi olaylarının algılandığı durumlarda yükleyen “alışılmadık” bir yükleyici varyantı olarak tanımladığı şeyi de gözlemlediğini söyledi.
Bu tekniğin hem etkili bir anti-bot önlemi hem de deniz süpürücüsünün yüklenmesinin performans darboğazlarına neden olmamasını sağlamanın bir yolu olarak hizmet edebileceğini ekledi.
Moğolistan’a ait deniz süpürücüsünü sunmak üzere uzlaşılan Magento sitelerinden birinin de ayrı bir deniz süpürücüsü aktörü tarafından hedef alındığı, iki faaliyet kümesinin birbirleriyle etkileşime girmek ve karları paylaşmak için kaynak kodu yorumlarından yararlandığı söyleniyor.
24 Eylül 2024’te tehdit aktörlerinden biri “50/50 belki?” dedi. Üç gün sonra diğer grup şu yanıtı verdi: “50/50 katılıyorum, kodunuzu ekleyebilirsiniz :)”
Daha sonra 30 Eylül’de ilk tehdit aktörü yanıt vererek “Peki ama sizinle nasıl iletişime geçebilirim? Bir istismar hesabınız mı var? [sic],” muhtemelen Exploit siber suç forumuna atıfta bulunuyor.
Fortuna, “Bu deniz süpürücüsünde bulunan gizleme teknikleri, eğitimsiz bir göze yeni bir gizleme yöntemi gibi görünebilir, ancak durum böyle değildi” dedi. “Daha karmaşık görünmek için eski teknikleri kullandı, ancak bunları tersine çevirmek de aynı derecede kolay.”